黃險峰
摘要 文章首先從理論角度出發(fā),論述并分析了鐵路專用數(shù)據(jù)網(wǎng)的組網(wǎng)方式,指出其在邏輯結(jié)構(gòu)上能夠大體劃分為數(shù)據(jù)中心、核心層、匯聚層以及接入層,并且分析了各自的構(gòu)成特征和職責(zé)。而后就鐵路專用數(shù)據(jù)網(wǎng)的安全問題展開剖析,指出網(wǎng)內(nèi)數(shù)據(jù)隔離,即VPN的應(yīng)用,和網(wǎng)絡(luò)軟硬兩個層面的安全設(shè)置是維系專用數(shù)據(jù)網(wǎng)安全的生命線。
關(guān)鍵詞 鐵路;專用;數(shù)據(jù)網(wǎng);組網(wǎng);安全
中圖分類號TP392 文獻標(biāo)識碼A 文章編號 1674-6708(2012)67-0189-02
在鐵路系統(tǒng)中,數(shù)據(jù)的傳輸不僅僅為旅途中的乘客提供著必要的通信支持,更承擔(dān)著鐵路系統(tǒng)正常運行所必需的數(shù)據(jù)傳輸任務(wù)。隨著列車行駛速度的不斷提升,以及多種數(shù)字技術(shù)的投入應(yīng)用,列車行駛過程中的數(shù)據(jù)傳輸成了確保列車安全運行的一個重要因素,也正因為如此,鐵路專用數(shù)據(jù)網(wǎng)的運行和安全問題才得到了更多的重視。
1 鐵路專用數(shù)據(jù)網(wǎng)的組網(wǎng)方式
從鐵路專用數(shù)據(jù)網(wǎng)的邏輯構(gòu)成角度看,其由下至上可以大致劃分為接入層、匯聚層、核心層以及數(shù)據(jù)中心幾個主要層面。
從北京鐵路局專用數(shù)據(jù)網(wǎng)的邏輯結(jié)構(gòu)上看,相對于數(shù)據(jù)中心的北京鐵路局網(wǎng)絡(luò)中心,負(fù)責(zé)對三個核心層面的子網(wǎng)進行必要的協(xié)調(diào),并且實現(xiàn)同種協(xié)議的子網(wǎng)間數(shù)據(jù)傳輸。對于核心層而言,北京鐵路局專用數(shù)據(jù)網(wǎng)包括了三個主要區(qū)域的子網(wǎng),子網(wǎng)的核心共同構(gòu)成了整個數(shù)據(jù)網(wǎng)的核心層,即北京鐵路局下屬的專用數(shù)據(jù)網(wǎng)由北京數(shù)據(jù)網(wǎng)、天津數(shù)據(jù)網(wǎng)以及河北數(shù)據(jù)網(wǎng)。核心層是整個專用數(shù)據(jù)網(wǎng)的核心部分,由路由器和三層交換機構(gòu)成,通常在設(shè)備選用的時候傾向于千兆位分布交換式路由器,妻交換容量為128Mb/s,隨著技術(shù)的發(fā)展,核心層的設(shè)備改進步伐也比較快,將會呈現(xiàn)出緊隨科技發(fā)展的趨勢。同時從核心網(wǎng)絡(luò)的傳輸介質(zhì)看,通常在早期就已經(jīng)采用了光纖傳輸?shù)募夹g(shù),并且隨著光復(fù)用技術(shù)的逐步完善,核心網(wǎng)絡(luò)能夠承受的數(shù)據(jù)流量也不斷增強,從總體上能夠滿足未來很長一段時間內(nèi)數(shù)據(jù)量的增加。
匯聚層負(fù)責(zé)對接入層上報的業(yè)務(wù)進行匯聚整理。由于匯聚層的網(wǎng)絡(luò)劃分以地理上的區(qū)域為準(zhǔn)繩,因此對于一些區(qū)域內(nèi)的數(shù)據(jù)傳輸請求,匯聚層可以實現(xiàn)自行處理,而不必提交到核心網(wǎng)絡(luò)中。對于匯聚層而言,網(wǎng)絡(luò)的邏輯拓?fù)浣Y(jié)構(gòu)采取星形進行組織,在設(shè)備方面,多采取常規(guī)路由器、三層交換機以及DSLAM等。在網(wǎng)絡(luò)傳輸介質(zhì)上,目前多為光銅混合網(wǎng)絡(luò),主要是針對目前呈現(xiàn)出的需求特征來對已經(jīng)存在的銅網(wǎng)進行必要的升級。
而對于接入層,即直接接收用戶的數(shù)據(jù)傳輸請求的網(wǎng)絡(luò)層,通常設(shè)定在鐵路沿線,在二三等站中,通常都只存在有接入設(shè)備。同樣采取星形拓?fù)浣Y(jié)構(gòu)為網(wǎng)絡(luò)的邏輯結(jié)構(gòu),多利用N×E1信道接入到匯聚層。該層面通常由普通路由器、二層交換機以及DSLAM等設(shè)備構(gòu)成。
2 鐵路專用數(shù)據(jù)網(wǎng)的安全實現(xiàn)
鐵路用專用數(shù)據(jù)網(wǎng)是一個用于數(shù)據(jù)傳輸?shù)奈锢砥脚_,其中不同部門的多種數(shù)據(jù)都需要利用該平臺進行傳送,并且從整體上看,鐵路專用數(shù)據(jù)網(wǎng)還處于一種半開放的狀態(tài)之下。鑒于此種情況,為了確保不同的部門和用戶之間能夠?qū)崿F(xiàn)正確有效以及安全的數(shù)據(jù)傳輸,有必要針對鐵路專用數(shù)據(jù)網(wǎng)的應(yīng)用狀態(tài)以及安全防范展開必要的分析。
首先,鐵路專用數(shù)據(jù)網(wǎng)內(nèi)部的數(shù)據(jù)傳輸隔離技術(shù)早已成為必需。網(wǎng)內(nèi)隔離技術(shù),能夠確保鐵路工作環(huán)境中的不同部門在進行數(shù)據(jù)傳輸?shù)倪^程中僅面對一個專用的邏輯網(wǎng)絡(luò),而非一個物理上的綜合網(wǎng)絡(luò)傳輸系統(tǒng)。目前常見的網(wǎng)內(nèi)隔離技術(shù)包括有L2TP VPN、GRE VPN、IPSecVPN、SSL VPN、MPLS VPN等技術(shù),并且以MPLS VPN技術(shù)相對成熟,我國鐵路專用數(shù)據(jù)網(wǎng)也采用了此種技術(shù)。MPLS VPN技術(shù)存在相對完善的行業(yè)標(biāo)準(zhǔn),且互通性良好,適合大規(guī)模使用。使用MPLS VPN技術(shù),能夠?qū)崿F(xiàn)較為簡潔的應(yīng)用,用戶不需要進行IP路由管理和骨干網(wǎng)管理,對于PE或P路由器的接入以及CE路由問題也可以采取完全透明的態(tài)度。同時,MPLS VPN對于IP的管理相對靈活,在VPN構(gòu)建的過程中,對于IP的部署和現(xiàn)有二層骨干網(wǎng)支持的安全程度相當(dāng)。此外,MPLS技術(shù)的報頭校驗對于網(wǎng)內(nèi)正確傳輸數(shù)據(jù)也意義重大。
其次,從網(wǎng)絡(luò)軟環(huán)境管理的角度看,也亟待提高其工作水平。只有對整個網(wǎng)絡(luò)正確的使用,才能進一步確保網(wǎng)絡(luò)環(huán)境的安全。針對目前可能存在的網(wǎng)絡(luò)資源濫用問題,應(yīng)當(dāng)對每個涉及網(wǎng)絡(luò)操作的人員都分配權(quán)限,尤其是可能接觸到鐵路系統(tǒng)數(shù)據(jù)VPN的工作人員更應(yīng)當(dāng)謹(jǐn)慎。對于權(quán)限的管理,應(yīng)當(dāng)依據(jù)一定的規(guī)章制度,并且采取動態(tài)或半動態(tài)口令配合管理。對于實際的操作而言,還有一個必須要做的方面就是相應(yīng)人員的培訓(xùn),對于網(wǎng)絡(luò)的使用,不應(yīng)當(dāng)僅僅了解操作步驟,對于相關(guān)設(shè)備的原理和簡單故障的定位和排除也要進行相應(yīng)的了解。并且還需要在完善人員素質(zhì)的基礎(chǔ)上,對網(wǎng)絡(luò)做好必要的軟件層面監(jiān)控,相應(yīng)的數(shù)據(jù)和參數(shù)應(yīng)當(dāng)及時加以分析,并且通過軟件設(shè)定預(yù)警,增進整個通信網(wǎng)絡(luò)的健壯性。
最后,還需要從硬件上加以重視,完善整個網(wǎng)絡(luò)的安全。其中包括網(wǎng)管系統(tǒng)的安全、路由的選擇和配置、核心以及匯聚節(jié)點設(shè)備冗余配置、接入層設(shè)備鏈路雙歸屬以及數(shù)據(jù)傳輸通道保護等眾多問題。在實際的操作過程中,除了針對硬件的設(shè)定實施必要的保護,對于各種硬件的驅(qū)動設(shè)備以及控制程序也必須加以重視。常用端口和默認(rèn)口令都必須要進行更改,這些都常常會成為攻擊的目標(biāo)。
從鐵路專用數(shù)據(jù)網(wǎng)的安全角度看,是一個需要長期堅持并不斷完善的過程。只有在實際中堅持不懈的努力,才能確保整個網(wǎng)絡(luò)安全運行并發(fā)揮應(yīng)有的作用。
參考文獻
[1]于佳亮,于天澤.鐵路通信網(wǎng)概論[M].北京:人民郵電出版社,2009.
[2]TB 10087-2010-J 977-2010 鐵路數(shù)據(jù)通信網(wǎng)設(shè)計規(guī)范[S].
[3]TB 10006-2005 鐵路運輸通信設(shè)計規(guī)范[S].
[4]夏德春,李敏,余京梅.適合高速鐵路的數(shù)據(jù)網(wǎng)方案[J].鐵道通信信號,2005(11).
[5]毛積綱.鐵路地區(qū)用戶接入網(wǎng)的規(guī)劃和實施[J].鐵道運營技術(shù),1999(3).